Peretas Cina Mengeksploitasi VMware Zero-Day ke Backdoor Windows dan Sistem Linux

Cyberthreat.id - Grup yang disponsori negara China yang dikenal sebagai UNC3886 telah ditemukan mengeksploitasi kelemahan zero-day di host VMware ESXi ke sistem Windows dan Linux backdoor. Demikian laporan The Hacker News.

Kerentanan bypass autentikasi VMware Tools, dilacak sebagai CVE-2023-20867 (skor CVSS: 3.9), "memungkinkan eksekusi perintah istimewa di VM tamu Windows, Linux, dan PhotonOS (vCenter) tanpa autentikasi kredensial tamu dari host ESXi yang disusupi dan tidak ada login default pada VM tamu," kata Mandiant.

The Hacker News menuliskan, UNC3886 awalnya didokumentasikan oleh perusahaan intelijen ancaman milik Google pada September 2022 sebagai pelaku spionase dunia maya yang menginfeksi server VMware ESXi dan vCenter dengan pintu belakang bernama VIRTUALPITA dan VIRTUALPIE.

Awal Maret ini, grup tersebut dikaitkan dengan eksploitasi kelemahan keamanan dengan tingkat keparahan menengah yang kini telah ditambal dalam sistem operasi Fortinet FortiOS untuk memasang implan pada peralatan jaringan dan berinteraksi dengan malware yang disebutkan di atas.

Pelaku ancaman telah digambarkan sebagai kelompok yang "sangat mahir" yang menargetkan organisasi pertahanan, teknologi, dan telekomunikasi di AS, Jepang, dan kawasan Asia-Pasifik.

"Grup ini memiliki akses ke penelitian ekstensif dan dukungan untuk memahami teknologi yang mendasari peralatan yang menjadi target," kata peneliti Mandiant, menyebut pola kelemahan persenjataan dalam perangkat lunak firewall dan virtualisasi yang tidak mendukung solusi EDR.

Sebagai bagian dari upayanya untuk mengeksploitasi sistem ESXi, pelaku ancaman juga telah diamati mengambil kredensial dari server vCenter serta menyalahgunakan CVE-2023-20867 untuk menjalankan perintah dan mentransfer file ke dan dari VM tamu dari host ESXi yang disusupi.

Aspek penting dari perdagangan UNC3886 adalah penggunaan soket Antarmuka Komunikasi Mesin Virtual (VMCI) untuk gerakan lateral dan persistensi yang berkelanjutan, sehingga memungkinkannya untuk membangun saluran rahasia antara host ESXi dan VM tamunya.

Saluran komunikasi terbuka antara tamu dan host ini, di mana salah satu peran dapat bertindak sebagai klien atau server, telah memungkinkan cara baru untuk mendapatkan kembali akses pada host ESXi backdoor selama backdoor dikerahkan dan penyerang mendapatkan akses awal ke tamu mana pun mesin," kata perusahaan itu.

Perkembangan tersebut terjadi ketika peneliti Tim Pemanggil Sina Kheirkhah mengungkapkan tiga kelemahan berbeda dalam VMware Aria Operations for Networks (CVE-2023-20887, CVE-2023-20888, dan CVE-2023-20889) yang dapat mengakibatkan eksekusi kode jarak jauh.

"UNC3886 terus menghadirkan tantangan bagi penyelidik dengan menonaktifkan dan merusak layanan logging, secara selektif menghapus peristiwa log yang terkait dengan aktivitas mereka," tambahnya lebih lanjut. "Pembersihan retroaktif pelaku ancaman yang dilakukan dalam beberapa hari setelah pengungkapan publik sebelumnya tentang aktivitas mereka menunjukkan betapa waspadanya mereka."[]